Jouets connectés au Luxembourg : 5014 profils d’enfants résidents dans la nature

Suite à la fuite de données de l’entreprise de jouets connectés VTECH, BEE SECURE et la Commission nationale pour la protection des données s’associent pour vous informer sur les conséquences de cette fuite et vous donner des recommandations pratiques. Le site américain Vice.com via sa plateforme Motherboard a révélé que l’entreprise de jouets connectés VTECH a été piratée le 14 novembre 2015. Un attaquant a eu accès au contenu de la base de données du système nommé Explor@Park / Learning Lodge, une  plateforme qui permet aux consommateurs de télécharger des contenus pour certains jouets VTECH. Par ce biais, l’attaquant s’est aussi emparé des données du  service “Kid Connect”. L’attaquant a exploité une faille de sécurité en injectant une requête SQL. Il s’agit d’une méthode d'attaque qui consiste à insérer des commandes malignes dans le formulaire d'un site pour le piéger et l'amener à dévoiler d'autres données contenues dans la base de données.VTECH a reconnu  dans une FAQ qu’une de ses bases de données n’était suffisamment sécurisée, et avait fait l’objet d’une fuite. En conséquence:-        4,854,209 profils de parents et 6,368,509 profils d’enfants ont fuité selon la communication officielle de VTECH,-        ceci concerne 5014 profils d’enfants et 4190 profils de parents au Grand-Duché du Luxembourg,  -        au total, c’est une base de données de 190 giga-octets qui a disparu dans la nature.La Commission nationale pour la protection des données (CNPD) a été informée du piratage et est en train d’évaluer la situationC’est un attaquant anonyme qui a alerté un journaliste de Motherboard en indiquant que les données étaient disponibles et que celui-ci a pu les récupérer.Apparemment, d'autres hackers pourraient avoir profité des failles de sécurité des serveurs de VTECH, et auraient pu récupérer ces informations. Qu'est-ce qui a fuité Sachez que VTECH France a communiqué de manière contradictoire quant à la nature des données qui ont fuitées. VTECH France avait déclaré qu’aucune adresse personnelle n’avait été dérobée, pourtant les adresses postales ont bel et bien été extraites des serveurs de VTECH. Les informations des comptes « parent »-        Nom / prénom-        Mot de passe-        Question secrète-        Indice de mot de passe-        Réponse secrète-        Adresse IP-        Adresse Email-        Adresse postale-        Historique de téléchargements Die Informationen des Kinder-Kontos-        Nom / prénom-        Nom d'utilisateur-        Nom du parent de l'enfant-        Sexe-        Date de naissance Les informations de Kid Connect: les fichiers multimédias-        Fichiers audio-        Les photos-        Historiques des messages de la messagerie instantannée-        Les vidéos   Source: Motherboard: http://motherboard.vice.com/read/hacker-obtained-childrens-headshots-and-chatlogs-from-toymaker-vtech  Ce que BEE SECURE recommande:-        Contactez l’entreprise : n’hésitez pas à demander à VTECH quelles données vous concernent. La liste des contacts directs se trouve sur la FAQ de VTECH (page numéro 5): cliquez ici.-       Changez votre question et réponse secrète : sur tous les autres sites sur lesquelles vous utilisez les mêmes combinaisons ou des combinaisons similaires. De manière générale, tenez-vous aux bonnes pratiques pour choisir des mots de passe forts et ne choisissez jamais le même mot de passe pour différents services. -       Ne cédez pas au chantage : si on essaie de vous faire chanter et que l’on vous demande une somme d’argent, ne cédez pas et contactez la Police. Pour connaître les impacts d’une fuite de données plus en détail, lisez notre news : « fuite de données, tous concernés ». -        Gare au phishing : on pourrait utiliser vos données personnelles pour mener des campagnes de phishing. Pour plus d’informations: https://www.bee-secure.lu/fr/glossaire/phishing.  Enfin, BEE SECURE recommande de ne jamais laisser votre enfant connecté sans surveillance. Qui est VTECH?VTECH est une société qui compte parmi les plus grands fabricants mondiaux de jouets éducatifs électroniques. Ciblant les enfants, la société commercialise des tablettes, des montres ou des mini-appareils photo connectés.Ces objets connectés se reposent sur un Cloud, proposant non seulement une plate forme de téléchargement, mais aussi des fonctionnalités avancées de partage d’informations comme les photos et vidéos. Le Cloud de VTECH La solution Cloud de VTECH se nomme Explor@Park / Learning Lodge. Il propose des applications de messagerie instantanée comme l'application Kid Connect, qui permet de communiquer non seulement par texte, mais aussi par le biais de messages vocaux, de vidéos ou de photos. Ces communications ainsi que l’ensemble des données échangées transitent via le Cloud de VTECH.  Cette affaire est une bonne illustration de la nécessité de lire les conditions générales d'utilisation des services Cloud (voir dossier "Conditions générales d'utilisation" sur  https://www.bee-secure.lu/fr/outils/campagnes/clever-cloud-user/thèmes/eula).  N'hésitez pas à contacter la Helpline BEE SECURE au 8002 1234.